Hace
tiempo que llevamos siguiendo las andanzas del troyano bancario Trickbot. Se ha
recorrido medio mundo: Australia, Irlanda, Inglaterra, Alemania, Canadá… y hoy
mismo acabamos de detectar una muestra que ataca a entidades españolas.
No hacía falta ser Nostradamus, era
previsible, de hecho ya lo dijimos
hace meses cuando llegó a Europa:
"A pesar de no haber golpeado aún a bancos españoles, es posible que tras haber mutado en poco tiempo desde Australia hacia Europa, pueda acabar afectando a entidades españolas.".
Con el paso del tiempo, el rango
de victimas ha ido aumentando, así como el de países afectados hasta finalmente
incluir España dentro de su alcance.
 |
| Países con entidades afectadas por Trickbot |
El ataque llega a través de un
correo electrónico que incluye un documento adjunto como el que podemos ver a
continuación:
Documento malicioso.
En el correo se menciona una
falsa querella contra la empresa, intentando lograr que el usuario haga click
sobre el documento.
Al abrir el documento se ejecuta una macro automáticamente que lanza un comando a través de Powershell. Este comando se encargará de descargar desde un servidor remoto un binario (el malware propiamente dicho) que posteriormente será ejecutado por el script. De esta manera el ordenador de la víctima queda infectado.
Ejecución de Powershell bajo el documento de Office
La muestra cuenta con una tarea
que se ejecutará constantemente para asegurarse que el troyano bancario siga ejecutándose sin problemas.
Infraestructura remota del troyano.
Contamos también con el listado
de infraestructuras remotas utilizadas por el troyano bancario, además de los
módulos y configuración obtenido por este. En total se encuentran afectadas un
total de 76 entidades de todo el
mundo, incluyendo españolas. Cabe destacar, que esta muestra afecta incluso a entidades del sector farmacéutico.
Inyecciones utilizadas por el troyano bancario
Entre las nuevas entidades españolas incluidas podemos
encontrar:
- Bancofar
- caja-sur
- Kutxabank
- caja-ingenieros
- Ruralvia
El hash de la muestra:
88bef4abd4db5e07764358ca39fe5bbf257603dbf3f0e4eeec2e8c127cfa7bfd
36b83f1df7c918efcde6ec5a895b4b53ec0307b1b8603a5ba3a3ab63ab7c2265
36b83f1df7c918efcde6ec5a895b4b53ec0307b1b8603a5ba3a3ab63ab7c2265
Como siempre, ante este tipo de
amenazas, se recomienda mantener los antivirus actualizados, así como evitar
abrir e-mails adjuntos de desconocidos. También recordar que si recibís
correos que consideréis falsos, con facturas falsas, fraude o malware podéis
enviárnoslo a report@hispasec.com.
Más información:
una-al-dia (07/11/2016) El
troyano bancario TrickBot azota a Europa
Laboratorio Hispasec
Continúan las andanzas de
Trickbot
Fernando Díaz
La mayoría de personas piensan que el malware viene siempre con la extensión .exe y por ello se confían abriendo un simple documento de word. El problema está en tener permitidos todos los macros en el equipo, ya que es abrir las puertas de lleno a estos troyanos o a otro tipo de malware.
ResponderEliminarBuen post, bien informado y documentado.